УДК 004.056
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ
Е.Д. Босова, В. А. Селищев
Рассмотрены основные способы защиты информации, обрабатываемой в банковских организациях.
Ключевые слова: информация, угрозы информации, защита информации, искусственный интеллект.
В настоящее время вопросы, связанные с защитой информации, актуальны, так как почти любая организация стремится создать все необходимые условия для обеспечения безопасности при хранении, обработке и передаче информации об этом предприятии. Особенно важным является создание информационной безопасности в банковской системе, ибо она играет ведущую роль как в жизни государства, так и в жизни каждого человека.
Для обеспечения защиты информации необходимо правильно оценить риски и в соответствии с этим разработать подходящую систему защиты информации [1]. Под обеспечением информационной безопасности в банках понимают системный процесс, при котором необходимо разработать определенный комплекс мероприятий, который будет способствовать уменьшению возникновения того или иного риска в будущем и минимизации потерь. В связи с ростом количества услуг, предоставляемых банком, требуется наличие единых национальных стандартов оценки уровня защищенности банка, так как только таким образом появляется возможность обеспечить в банковской системе необходимый уровень защищенности.
Таким стандартом является стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», в котором представлены требования международных стандартов к банковским системам России в сфере защиты информации.
Данный стандарт включает в себя 5 этапов:
1) формирование политики информационной безопасности;
2) определение области действия системы обеспечения информационной безопасностью;
3) оценка и обработка рисков информационной безопасности;
4) управление информационной безопасностью;
5) контроль достижения целей политики информационной безопасности.
На первом этапе происходит разработка положений, регламентов и инструкций для каждой области деятельности банка, основанных на целях, задачах и требованиях политики информационной безопасности.
На втором этапе готовятся документы и инструкции, в которых отражаются информационная система и перечень ее ресурсов, подлежащие защите. Данная документация составляется исходя из особенностей структуры организации, технологий обработки данных, автоматизированных систем, информационных ресурсов и типа программного обеспечения.
На третьем этапе составляется документация, в которой описываются угрозы и уязвимости, которые могут возникнуть в результате негативного воздействия на информационную систему банка. Также появляется возможность подобрать средства, которые смогут обеспечить необходимый уровень защищенности предприятия. Для оценки рисков используется определенный алгоритм, состоящий из 4 этапов: 1 - идентификация и количественная оценка информационных ресурсов, необходимых для работы банка; 2 - оценка возможных угроз и расчет вероятности наступления риска; 3 - выявление уже имеющихся уязвимостей; 4 - определение уровня допустимого риска.
На четвертом этапе разрабатывается комплекс мер по обеспечению информационной безопасности, который включает в себя стандарты и требования по функционированию службы безопасности, занимающейся обнаружением и реагированием на различные уязвимости в системе [2].
На пятом этапе осуществляется проверка требований по обеспечению защиты информации с помощью проведения аудита информационной безопасности.
Общедоступность данных демонстрирует вероятность осуществления пользователями данных собственных прав доступа. Целостность данных демонстрирует их неизменность при различных взаимодействиях с ними, такими, как передача, обработка и хранение. Конфиденциальность информации включает в себя запрет ее разглашения третьим лицам без согласия обеих сторон.
Так, в Сбербанке была введена система искусственного интеллекта для мобильного приложения «Сбербанк Онлайн», которая анализирует и выводит на главный экран приложения наиболее часто используемые действия пользователя. Искусственный интеллект выделяет самые активные карты и также отображает их на главном экране. Что касается офлайн работы банка, то система искусственного интеллекта здесь введена для сокращения времени на обслуживание клиентов. Однако наряду с улучшением работы банка возникает необходимость в разработке дополнительных средств защиты информации, так как появляются новые угрозы, связанные с утечкой информации, возникающие при работе самого искусственного интеллекта.
В банке ВТБ искусственный интеллект отвечает за сканирование информационной системы, выявление возможных каналов утечки информации, предупреждение потенциально возможных угроз и отказав оборудования. Он позволяет уменьшить затраты на обеспечение защиты информации в системе, избежать случайных ошибок персонала при работе с данными, однако эта система нуждается в постоянном обновлении и совершенствовании во избежание утечки информации.
99
В Газпромбанке искусственный интеллект используется для обработки заявок на кредит. Система может распознавать данные российских паспортов и справки 2-НДФЛ вне зависимости от обеспечения. Данная функция позволяет сократить время на обслуживание клиентов. Однако эта система нуждается в мощной защите, так как обрабатывает персональные данные граждан РФ, поэтому банку помимо затрат на установку придется достаточно много средств потратить на обеспечение бесперебойной и безопасной работы данной функции.
Если же сравнить системы искусственного интеллекта в трех ведущих банках РФ, то вероятнее всего в ВТБ более полезная и менее затратная. Однако каждая система искусственного интеллекта имеет свои плюсы и минусы, и можно предположить, что в комплексе эти системы смогли бы как сократить время работы с клиентами, так и сделать информационную среду предприятия более безопасной.
В настоящее время главным фактором успеха в банковских системах является качество предоставляемых услуг, за которое отвечает информационная безопасность. При низком качестве услуг у банка могут возникнуть операционные, финансовые и репутационные риски. Не следует также забывать про взаимодействие между клиентом и банком, которое должно быть комфортным, безопасным и, самое главное, доступным по цене.
Создание информационной безопасности в банковской системе должно соответствовать уровню организационного и технического развития банка. Необходимым минимумом для непрерывной работы бизнеса является обеспечение конфиденциальности, целостности и доступности информации. Реализация политики безопасности и поддержание ее на соответствующем уровне осуществляются с помощью модели Деминга. Дан -ная модель лежит в основе таких стандартов качества, как: ГОСТ Р ИСО 9001 и ИБ КОЛЕС 18 27001-2005. В данных стандартах модель зрелости основывается на стандарте СоЬй 5, который включает в себя следующие уровни зрелости процессов [3].
Нулевой уровень (неполный процесс) - данный процесс пока что отсутствует в организации или же даже частично не соответствует своему назначению, деятельность организации не включает в себя меры по управлению информационной безопасностью. Отсутствует служба информационной безопасности и организационные меры по поддержанию достаточного уровня безопасности системы.
Первый уровень (осуществленный процесс) - процесс присутствует в организации и соответствует своему назначению, однако не соответствует стандартам в области ИБ. В организациях для обеспечения безопасности используется комплекс организационных и технических мер.
Второй уровень (управляемый процесс) - отвечает за управление предыдущем уровнем, то есть позволяет контролировать, отслеживать и планировать процесс с первого уровня. В организации присутствуют
100
утвержденные концепция и политика безопасности, должностные инструкции, планы защиты и прочая документация в сфере защиты информации.
Третий уровень (установленный процесс) - управляемый процесс уже стандартизирован, документально подтвержден и персонал осведомлен о его присутствии в организации. Присутствуют методики анализа рисков информационной безопасности, соответствующие минимальному уровню защиты информации. Также есть служба информационной безопасности, в которой определен состав и структура.
Четвертый уровень (предсказуемый процесс) - ведется постоянное совершенствование процессов управления информационной безопасности, а действия направлены на развитие методов, реагирующих на атаки и предотвращающих их.
Пятый уровень (оптимизируемый процесс) - используется комплекс защитных мер, а сама организация способна быстро адаптироваться под различные изменения в бизнес-сфере.
В заключение необходимо сказать, что модель зрелости используется лишь в зарубежных организациях, примером этого могут служить стандарты из серии ISO 27000, регулирующей вопросы по управлению ИБ. На основе данной модели в организациях проводится оценка уровня зрелости процессов, которая помогает ответить на ряд вопросов по обеспечению безопасности. Можно предположить, что после внедрения данной модели в банковские системы станет проще оценить их уровень безопасности, что выгодно как для самой организации, так и для клиентов, которые смогут выбрать наиболее безопасный банк.
Список литературы
1. Марданов Р.Х., Ильин И.В. Стандарты информационной безопасности в банковской системе // Вестник Уфимского государственного авиационного технического университета. 2013. Т. 17. № 7. С. 55 - 60.
2. Ревенков П.В. Управление рисками в условиях электронного банкинга. М.: ИД «Экономическая газета», 2011. 168 с.
3. Сердюк В. Роль стандартов Банка России в обеспечении информационной безопасности кредитно-финансовых организаций // Бухгалтерия и банки. 2008. № 3. [Электронный ресурс] URL: https://www. dialognauka.ru/press-center/article/7519/?y=2008&m=07 (дата обращения: 10.02.2020).
Босова Екатерина Дмитриевна, студент, bosoval9((9l999a.xmail. com, Россия, Тула, Тульский государственный университет,
Селищев Валерий Анатольевич, канд. техн. наук, доцент, sel648val@,rambler.ru, Россия, Тула, Тульский государственный университет
ENSURING INFORMATION SECURITYIN THE BANKING SYSTEM
E.D. Bosova, V.A. Selishev 101
The main methods of protecting information processed in banking organizations are considered.
Key words: information, threats to information, information protection, artificial intelligence.
Bosova Ekaterina Dmitrievna, student, [email protected], Russia, Tula, Tula State University,
Selishev Valeryi Anatolievich, сandidate of technical sciences, docent, sel648val@rambler. ru, Russia, Tula, Tula State University
УДК 621.317
АНАЛИЗ ВНЕШНИХ ФАКТОРОВ, ВЛИЯЮЩИХ НА РАБОТОСПОСОБНОСТЬ ВОЛОКОННО-ОПТИЧЕСКИХ
СИСТЕМ ПЕРЕДАЧ
О. А. Губская, М.Н. Плут, О.Р. Спиридонов, Е.В. Фатьянова
В статье дан анализ внешних факторов, влияющих на работоспособность волоконно-оптические системы передач, подробно рассмотрены их негативное воздействие на параметры оптического волокна кабеля.
Ключевые слова: волоконно-оптические системы передач, оптический кабель, оптическое волокно, поверхностное сопротивление, электротермическая деградация, электромагнитное поле, удельное сопротивление поверхности оболочки оптического кабеля, напряжение, микродуги, микроразряды, макроизгибы, микроизгибы, напряжение коронирования, арамидные нити, электродвижущая сила, ток, пробои изоляционных покрытий.
На современном этапе развития сетей связи переход на цифровые волоконно-оптические системы передач (ВОСП) вполне понятен, так как ВОСП имеют ряд неоспоримых преимуществ. К ним относятся: широкая полоса пропускания, малое затухание светового сигнала в волокне, низкий уровень шумов, высокая помехозащищенность и др. Однако специфика применения ВОСП заключается не только в особенностях распространения информационного сигнала, но и в конструкции самого оптического волокна (ОВ), его критичности к различного рода внешним воздействиям и нагрузкам. Оптическое волокно подвержено влиянию механических воздействий, влаги, температуры, радиации, внешних электромагнитных влияний, электротермической деградации (ЭТД). Все это приводит к увеличению затухания сигнала, а кроме того на поверхности ОВ появляются микротрещины и происходит частичное или полное его разрушение.
Эти факторы могут воздействовать на оптический кабель (ОК) и волокно как отдельно друг от друга, так и совместно, например, радиация и высокие температуры, низкие температуры и вода, высокие температуры и электромагнитные влияния.